Премини към съдържанието
  • публикации
    18
  • коментари
    5
  • прегледи
    24593

Какво ново в сериите стандарти ISO 27000, ISO 20000 и ISO 22300 (бизнес непрeкъсваемост)?

mscservices

850 прегледа

Какво ново в сериите стандарти ISO 27000, ISO 20000 и ISO 22300 (бизнес непрeкъсваемост)?

от Славчо Ненков – 15.12.2012

Наближаващият край на годината винаги е основание за преглед на случилото се през годината, правене на анализи и дефиниране на очакванията от следващата година. Воден от този подход аз реших да направя преглед на новите стандарти, които ISO (Международната организация по стандартизация) ни предложи през 2012 г. по отношение на групите стандарти ISO 27000, ISO 20000 и ISO 22300.

В групата стандарти ISO 27000 бяха публикувани 7 нови стандарта (включително нови версии на стандарти).

Стандартът ISO/IEC 27000:2012 “Information technology - Security techniques - Information security management systems - Overview and vocabulary” е обновена версия на този стандарт. Той предоставя общ преглед и речник на системи за управление на сигурността на информацията, които представляват предмет на семейството СУСИ стандарти, и определя термини и определения, свързани с тях. ISO / IEC 27000:2012 е приложим за всички видове и размери на организация (например търговски предприятия, правителствени агенции, за организации с нестопанска цел).

Стандартът ISO/IEC 27010:2012 “Information technology - Security techniques - Information security management for inter-sector and inter-organizational communications” е нов стандарт от серията ISO/IEC 27000, който предоставя насоки в допълнение към насоките, дадени в семейството стандарти ISO / IEC 27000 за внедряване системи за управление на информационната сигурност в рамките на общности, споделящи информация. ISO / IEC 27010:2012 осигурява механизми за контрол и насоки, конкретно свързани с иницииране, внедряване, поддържане и подобряване на сигурността на информацията при между-организационни и между-секторни комуникации. Стандартът е приложим за всички форми на обмен и споделяне на чувствителна информация, както публична, така и частна, на национално и международно ниво, в рамките на една и съща индустрия или пазарен сектор или между секторите. В частност, той може да се прилага за обмен и споделяне на информация, свързани с предоставяне, поддържане и опазване на критичната инфраструктура на организации или на държавната администрация.

Стандартът ISO/IEC 27013:2012 „Information technology - Security techniques - Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1“ предоставя насоки за интегрирано прилагане на ISO/IEC 27001 и ISO/IEC 20000-1 за тези организации, които възнамеряват да:

а) внедряват ISO/IEC 27001, когато ISO/IEC 20000-1 вече е внедрен или обратното;

б) внедряват едновременно ISO/IEC 27001 и ISO/IEC 20000-1;

в) интегрират съществуващите ISО/IEC 27001 и ISO/IEC 20000-1 системи за управление.

ISO/IEC 27013:2012 се фокусира изключително върху интегрираното внедряване на ISO/IEC 27001:2005 и ISO/IEC 20000-1.

Стандартът ISO/IEC TR 27015:2012 “Information technology - Security techniques - Information security management guidelines for financial services” дава указания по сигурността на информацията, допълващи и в добавка към механизмите за контрол на информационната сигурност, определени в ISO/IEC 27002:2005 за иницииране, внедряване, поддържане и подобряване на сигурността на информацията в рамките на организации, предоставящи финансови услуги.

Стандартът ISO/IEC 27032:2012 “Information technology - Security techniques - Guidelines for cybersecurity” дава насоки за подобряване на състоянието на киберсигурността, определяйки уникалните аспекти на тази дейност и нейните зависимости от други области на сигурността, по-специално:

  • сигурността на информацията;
  • мрежовата сигурност;
  • Интернет сигурността и
  • защитата на критичната информационна инфраструктура.

Той покрива базовите практики за сигурност на заинтересованите страни в киберпространството. Този международен стандарт предлага:

  • преглед на киберсигурността;
  • обяснение на връзката между киберсигурността и други видове сигурност;
  • определение за заинтересовани страни, както и описание на техните роли в киберсигурността;
  • насоки за решаване на общи проблеми на киберсигурността и
  • рамка, която да даде възможност на заинтересованите страни да си сътрудничат за решаване на въпросите на киберсигурността.

Стандартът ISO/IEC 27033-2:2012 “Information technology - Security techniques - Network security - Part 2: Guidelines for the design and implementation of network security” дава насоки на организациите да планират, разработват, внедряват и документират мрежовата сигурност.

========================================

www.mscservices.eu - Вашите ISO консултанти

========================================

Два нови стандарта бяха публикувани и в серията стандарти ISO/IEC 20000 както следва:

Стандартът ISO/IEC 20000-2:2012 “Information technology - Service management - Part 2: Guidance on the application of service management systems” предоставя насоки за внедряване на системи за управление на услуги (СУУ), въз основа на изискванията на ISO/IEC 20000-1. ISO/IEC 20000-2:2012 дава възможност на организации и частни лица за по-точно тълкуване на ISO/IEC 20000-1 и следователно за по-ефективно използване. Ръководството включва примери и препоръки, даващи възможност на организациите да тълкуват и прилагат ISO/IEC 20000-1, включително препратки към други части на ISO/IEC 20000 и други приложими стандарти. Това включва насоки относно използването на системата за планиране, разработване, внедряване, доставка и подобряване на СУУ и услугите. Като минимум това включва политики за управление на услуги, цели, планове, процеси за управление на услуги, връзки между процеси, документация и ресурси. СУУ осигурява текущ контрол, по-голяма ефективност, ефикасност и възможности за непрекъснато подобряване на управлението на услугите и на самите услуги. Това дава възможност на организацията да работи ефективно с обща визия.

Стандартът ISO/IEC 20000-3:2012 “Information technology - Service management - Part 3: Guidance on scope definition and applicability of ISO/IEC 20000-1” е полезeн за доставчици на услуги, консултанти и оценители. Той включва и практически насоки за дефиниция на обхвата, приложимостта и доказване на съответствие с изискванията на ISO/IEC 20000-1. Включено е и ръководство за различните видове оценка на съответствието и стандарти за оценка. ISO/IEC 20000-3:2012 съдейства за установяване дали ISO/IEC 20000-1 е приложим към спецификата на доставчика на услуги. Той илюстрира как обхватът на СУУ може да бъде определен, независимо от това дали читателят има опит при определяне на обхвата на други системи за управление. Ръководството е под формата на практически примери, типични сценарии и препоръки. ISO/IEC 20000-3:2012 също така помага в планиране подобрението на услуги, както и в подготовката за оценка за съответствие с ISO/IEC 20000-1. Той допълва насоките за внедряване на ISO/IEC 20000-1, дадени в ISO IEC 20000-2.

ISO (Международната организация за стандартизация) публикува 3 нови стандарта в групата стандарти ISO 22300, отнасящи се до системи за управление на бизнес непрекъсвамеостта.

Стандартът ISO 22300:2012 “Societal security – Terminology” съдържа термини и определения, приложими към обществената сигурност, с цел да се установи общо разбиране и да бъдат използвани съответстващи термини.

Стандартът ISO 22301:2012 “Societal security - Business continuity management systems - Requirements” определя изискванията за планиране, разработка, прилагане, работа, мониторинг, преглед, поддържане и непрекъснато подобряване на документирана система за управление за действия при евентуални разраушителни инциденти: защита срещу инциденти, намаляване на вероятността от поява, подготовка за инциденти, реагиране и възстановяване от инциденти. Изискванията, посочени в ISO 22301:2012, са общи и предназначен да бъде приложим за всички организации, или части от тях, независимо от вида, размера и характера на организацията. Степента на прилагане на тези изисквания зависи от работната среда на организацията и сложността.

Стандартът ISO 22313:2012 “Societal security - Business continuity management systems – Guidance” ISO 22313:2012 за системи за управление на непрекъснатостта на бизнеса (СУНБ) дава насоки въз основа на добрата международна практика за планиране, създаване, внедряване, експлоатация, мониторинг, преглед, поддържане и непрекъснато подобряване на документирана система за управление, която дава възможност на организациите да се подготвят за реакция и възстановяване от разрушителни инциденти, когато те възникнат. Целта на ISO 22313:2012 не е да налага еднообразие в структурата на СУНБ, а да може организацията да разработи СУНБ, която е подходяща за нейните нужди и която отговаря на изискванията на своите заинтересовани страни. Тези нужди са определени от правните, регулаторните, организационните и браншовите изисквания, продуктите и услугите, използваните процеси, околната среда, в която организацията работи, размера и структурата й и изискванията на заинтересованите страни. ISO 22313 е приложими за всички размери и видове организации, включително големи, средни и малки организации, работещи в индустриални, търговски, обществени и сектори с нестопанска цел, които желаят да:

- създадат, внедрят, поддържат и подобряват СУНБ;

- гарантират съответствие с политиката за непрекъснатост на дейността на организацията;

- определят и декларарират съответствие с този международен стандарт.

www.mscservices.eu - Вашите ISO консултанти

  • Харесва ми 1


0 Коментара


Препоръчани коментари

Все още няма коментари.

Гост
Добави коментар...

×   Вмъкнахте текст, който съдържа форматиране.   Премахни форматирането на текста

  Разрешени са само 75 емотикони.

×   Съдържанието от линка беше вградено автоматично.   Премахни съдържанието и покажи само линк

×   Съдържанието, което сте написали преди беше възстановено..   Изтрий всичко

×   You cannot paste images directly. Upload or insert images from URL.

  • Разглеждащи това в момента   0 потребители

    Няма регистрирани потребители разглеждащи тази страница.

  • Горещи теми в момента

  • Подобни теми

    • от mscservices
      "Облачните" компютърни услуги и ISO 27001 / BS 25999
      От Деян Кошутич - 30 май 2011


      Все повече и по-често хората ме питат какво да правят с "облачните" компютърни услуги в контекста на ISO 27001 и BS 25999. Моят отговор е:използвате здрав разум.
      Тяхната дилема е напълно разбираема - тези стандарти са били написани преди "облачните" услуги да станат толкова сериозен фактор и затова няма особен акцент върху "облачните" услуги в никой от тях. За да станат нещата още по-лоши, прекъсвания на доставчиците на "облачни" услуги предизвикаха сериозни проблеми на други интернет-базирани бизнеси, какъвто беше наскоро случая с Amazon Web Services (за повече информация за AWS и ISO 27001 четете Означава ли ISO 27001, че информацията е 100% сигурна?).
      Ето защо, тяхната позиция е: тъй като ние не можем да контролираме информацията в "облака", сигурността на информацията в такъв случай е празна приказка.

      Нова концепция?
      Аз няма да се съглася с това. Смисълът е - "облачните" компютърни услуги не са нищо друго, освен аутсорсинг (на съхраняване или обработка на вашата информация). А вие вече сте дали на аутсорсинг други дейности, които могат да застрашат сигурността на вашата информация - вашият софтуер обичайно се разработва от външен доставчик, вие може да имате външни доставчици, които поддържат хардуерните и софтуерните ви активи (понякога с отдалечен достъп до вашата мрежа), най-вероятно имате някакъв външен персонал по поддръжката на място при вас (ако не за друго, то за инфраструктурата), почти сигурно имате консултанти и / или одитори на място при вас (които знаят уязвимостите на вашата компания) и най-вероятно имат външен персонал по почистването на персонал (и те имат достъп до повечето от съоръженията, когато никой друг не е наличен).
      Ето защо, аз бих казал, въпреки че "облачните" услуги са нова технологична възможност, основният въпрос на аутсорсинга остава както и преди - до колко можете да се доверите на вашия аутсорсинг партньор?

      Здрав разум
      Тук е мястото, където трябва да използвате здравия си разум или да приложите текстовете на ISO 27001 и BS 25999-2 - трябва даизползвате оценката на риска, за да разберете какви са потенциалните рискове, и тогава ще трябва да изберете мъдро вашия партньор и да приложите необходимите контроли за сигурност, за да намалите тези рискове.
      В контрола A.6.2.1 ISO 27001 изисква да се идентифицират "... рисковете за информацията на организацията и средствата за обработка на информация от бизнес процесите с участието на външни лица", а A.6.2.3 изисква да се разгледат въпросите на сигурността в споразумения, които "... трябва да вклюват всички релевантни изисквания за сигурност", има и различни други контроли, определящи резервирането на информацията (A.10.5.1), контрола на достъпа (А.11), класификацията (A.7.2.1) и т.н. В клауза 4.1.1 BS 25999-2 изисква да "... Се идентифицират всички зависимости, свързани с критичните дейности, включително доставчици и, аутсорсинг партньори", в клауза 4.1.2 "... да се установят заплахите и слабостите ... включително тези, предизвикани от доставчиците и аутсорсинг партньорите", а в клауза 4.2 "... да определи как ще възстанови всяка критична дейност ... включително продукти и услуги, предоставяни от доставчици
      и аутсорсинг партньори ".

      ====================================================
      www.mscservices.eu - Абонаментна поддръжка на ISO системи
      ====================================================

      И така, какво можете да направите, за да намалите риска от "облачните" услуги? Ето няколко много важни съвета:
      • направете цялостна проверка на потенциалния доставчик - не само записи за неговата производителност, но също така и биографиите на неговите ръководители, внедрил ли е политики и процедури за информационна сигурност и непрекъсваемост на бизнеса, финансова стабилност, правни рискове и т.н.
      • включете много специфични клаузи за сигурност във Вашия договор с доставчика, катоо най-големият акцент ще бъде върху въпросите, които са предизвикали най-големи опасения по време на оценката на риска.
      • съхранявайте резервно копие на информацията си на място - въпреки че доставчикът "облачни" услуги (вероятно) прави редовно архивиране, то винаги е добра идея да имате пряк контрол върху вашата информация. (например банковите регулатори в някои страни са наложили регламенти за местните банки да пазят резервно копие вътре в страната специално заради този риск.)
      • Разработете стратегия за това как да се върне обработката/архивирането на информация обратно във вашата компания (ре-инсорсинг) в случай на проблеми с вашия доставчик на "облачни" услуги - вие трябва да знаете точно какви стъпки са необходими, както и какви ресурси.
      • Възможна стратегия за излизане от кризата може да бъде осигуряването на алтернативен доставчик на "облачни" услуги, в готовност, готов да се включи ако вашият партньор се справя зле.
      • Извършвайте редовни проверки на вашия доставчик, за да разберете дали има съответствие на защитните клаузи от споразумението.

      Разбира се, повечето от нещата, споменати тук, ще изглеждат невъзможни за по-малка компания. Но във всеки случай, бихте ли им поверили наистина вашата важна информация, без да имате никакви гаранции? Понякога е по-добре без "облачни" услуги - това е нещо, което вашето ръководство трябва да реши: те трябва да преценят баланса между разходите и удобство, и рисковете.

      Управлявайте вашите рискове
      Не се опитвам да кажа тук, че рисковете от "облачните" компютърни услуги са същите както другите аутсорсинг рискове, защото те не са - "облачните" услуги обикновено водят до по-високи рискове. Аз също не се опитвам да кажа, че ISO 27001 и BS 25999-2 (скоро ще излезе ISO 22301) не трябва да бъдат по-конкретни относно "облачните" услуги, защото трябва. Аз мисля също, че законодателството трябва да разгледа този въпрос много бързо.

      Това, което аз се опитвам да кажа тук е, че въпреки че рисковете, свързани с "облачните" услуги, са високи, това не означава, че те не могат да бъдат намалени.
      Затова, използвайте здравия си разум при избора на доставчик на "облачни" услуги - ако не вярвате напълно на вашия доставчик, тогава не му поверявайте вашата чувствителна информация.

      www.mscservices.eu - Вашите ISO консултанти
    • от mscservices
      ISO 20000 - Трудно ли е са се внедри система за управление на услугите?
      От Славчо Ненков - 16.04.2012

      Трудно ли е да се внедри система за управление на услугите съгласно изискванията на стандарта ISO 20000-1:2001? Отговорът е колкото очакван, толкова и прост - Зависи ! И за да не бъде отговорът ми съвсем йезуитски, ще обясня какво имам предвид.

      Ако вашата оргазнизация има вече внедрени системa за управление на качеството (ISO 9001), система за управление на сигурността на информацията (ISO 27001) и процесите на ITIL (IT Infrastructure Library), вие без много усилия можете да внедрите своята система за управление на услугите (ISO 20000). Защото вие и Вашето ръководство имате вече разбира-нето за важността и уменията за внедряване и поддържане на система за управление. Имате основните процедури, изиск-вани от двата стандарта: за управление на документите и записите, за вътрешни одити, за превантивни и коригиращи действия, въвели сте процеса на преглед от ръководството и подобряване на системите. Имате работещи процесите на ITIL, които се изискват и от ISO 20000-1:2011. На вас ви остава да приведете документацията си към изискванията на стандарта, да интегрирате системата за управление на услугите със съществуващите система за управление на качество-то и система за управление на сигурността на информацията и с не много усилия вие ще имате своето ISO 20000.

      Вие ще казжете - добре, така наистина е лесно, но колко са тези оргазнизации, които вече са внедрили ISO 9001, ISO 27001 и процесите на ITIL? Ами не са много малко.

      =============================================================
      www.mscservices.eu - Абонаментна поддръжка на системи за управление
      =============================================================

      Но въпреки това, да продължим нататък - да допуснем, че вашата организация е голяма или средна ИТ компания, която има опит от сътрудничество с утвърден доставчик на ИТ или комуникационни решения. В този случай вие неминуемо имате внедрени система за управление на качеството и система за управление на сигурността на информацията заради изискванията на вашите клиенти (държавана администрация, банки, телекомуникационни компании и други). Вие немину-емо трябва да имате специалисти, които са запознати с процесите на ITIL пак заради естеството на вашата работа. Партньорството с утвърдени доставчици на ИТ или комуникационни решения неминуемо е наложило да внедрите добри практики в доставката на услуги, просто защото такава е практиката на големите производители - те изискват спазване на определени правила при доставка на услуги и извършват ежегодни одити, за да проверят как сте ги внедрили. В този случай с голяма доза увереност можем да твърдим, че вие вече имате внедрени следните функции и процеси на ITIL: help desk, планиране и въвеждане на нови или променени услуги, управление на нивото на услугите, отчетност на услугите, управле-ние на непрекъснатостта и наличността на услугите, управление на инциденти и проблеми, управление на промени, процес за пускане в действие и разгръщане. Процесът за управление на сигурността на информацията се осигурява от внедрената система за управление на сигурността на информацията. Процесите за управление на доставчиците и бизнес отношенията могат да бъдат осигурени от внедрената система за управление на качеството. В този случай вие трябва да внедрите някои допълнителни процеси като: бюджетиране и счетоводна отчетност на услугите, управление на капацитета, управление на конфигурации, което при придобитите от вашата организация навици за внедряване и поддържане на про-цеси, няма да е никак сложно.

      Е, добре, но ако вашата организация няма опит от сътрудничество с утвърден проеизводител на ИТ и комуникационна техника и не е внедрила никой от посочените по-горе процеси? Ами тогава ще трябва да внедрите всичко това. Разбира се ако все пак имате внедрени система за управление на качеството и система за управление ан сигурността на информаци-ята това ще ви облекчи тъй като можете да ги изпозлвате за осигуряване на процесите за управление на доставчиците, на бизнес отношенията и на сигурността на информацията.

      А ако нямате внедрени ISO 9001 и ISO 27001? Е, тогава ще трябва да положите повече усилия. Именно затова в началото така започнах - със "зависи".
      Все пак обаче нормално е да се очаква от една организация, в която се е появила необходимостта от внедряване на ISO 20000, да се използват добрите ИТ практики в предоставянето на услуги ...

      www.mscservices.eu - Вашите ISO консултанти
    • от mscservices
      ISO 20000: Изборът на подходящия процес за внедряване
      от Изабел Перон.


      Повечето ИТ организации започват процеса на внедряване на ISO 20000 или ITIL с много малък опит. И защо не? Един интелигентен човек трябва да бъде в състояние да вземете наръчник, да го прочете и да го приложи в своята организация, нали?
      Е, това е вярно, но трябва първо да вземеш в ръце такъв наръчник. Моите клиенти често ме питат дали знам книга, която компетентно да разглежда методологията за изпълнение. Въпреки че има множество книги, които разглеждат теорията на ИТ процесите и го правят много добре, аз все още търся такъв, който обхваща цялостно внедряването на тези процеси. Що се отнася до методологиите за внедряване сами по себе си, те са най-дълго и добре пазените тайни, които консултантските фирми са склонни да продават чрез своите услуги, но са доста срамежливи да ги споделят безплатно.

      Е, познайте какво? Аз не съм!
      Една от най-популярните и общоприети методологии е традиционният 5-стъпков подход. Този подход може да бъде обобщен както следва:
      • Стъпка 1 - Опишете сегашното положение - каквото е;
      • Стъпка 2 - Определете целевия процес - да бъде;
      • Стъпка 3 - Документирайте разликата между текущия и целевия процес;
      • Стъпка 4 - Планирайте стъпките за покриване на разликата;
      • Стъпка 5 - Изпълнете плана.

      Този подход често води до катастрофални последици. Първо, за да опише настоящата ситуация и да определи целевия процес, организацията обикновено инвестира много време и пари в създаването на един много сложен документ за бъдещия процес - обикновено схема, която много малко хора разбират, само един-единствен всъщност използва.
      Тогава започва веселбата. Фазата на анализа на разликите е мястото, където се създава паника. ИТ организацията осъзнава колко много неща трябва да се променят, за да отговори на целевия процес и колко проблеми всъщност имат. Те също така виждат, че процеса, който е изпълняван преди в един отдел, сега трябва да бъдат еднакъв във всички отдели. Това обикновено е времето, когато някой споменава Р-думата: реорганизация, и нейният неизбежен страничен ефект: подновяват се СВ-та и хора напускат компанията в най-неподходящото време.

      =========================================
      www.mscservices.eu - Вашите ISO консултанти
      =========================================

      Използването на този подход води до време на цикъла за внедряване в диапазона от 6 до 12 месеца. Отнемайки 9 месеца средно на процес, то би отнело на организацията 7,5 години за изпълнение на 10 процеса по този начин. Очевидно е, че това не е приемлив график за никого.
      Процесът на внедряване не трябва да бъде дълъг или скъп. Години на творческо мислене, практическо тестване и фина настройка са довели до развитието на един рационализиран и ефикасен - още и прост - начин да се намали драстично времето и разходите за цикъла на внедряване на ИТ процесите – надолу до 12 седмици средно за процес. Решението: малки групи от процеси чрез ускорени итеративни PDCA (планирай, направи, провери, действай) цикли..
      Внедряването на процес е процес само по себе си. То не трябва да продължава вечно и не трябва да струва цяло състояние. С течение на годините, стъпките за внедряване на икономични ИТ процеси са подобрени по начин, който позволява на ИТ организациите успешно внедряване в рекордно кратко време с минимални инвестиции.

      Няма магия зад постигането на сертифициране по ISO 20000 за 18 месеца, когато се изплолзва неразточителен подход. Процесно прототипната методика за внедряване – един доказан, новаторски подход за внедряване на ИТ процеси, се фокусира върху постигането на интегрирани, развити процеси и подобряване на ИТ услугите в цялата ИТ организация. Методологията е гръбнакът на проектен план - подробни етапи и фази - пригоден за внедряване на ИТ процеса и обхващащ всички фази на проект за внедряване на ИТ процес, от обхвата до ISO сертифицирането.

      Предложената методология е разбита на 4 етапа:
      • Етап 1: Създаване на прототип на процеса
      • Етап 2: Изграждане на процеса
      • Етап 3: Внедряване на процеса
      • Етап 4: Настройване на процеса
      ... и 4 фази:
      • Фаза 1: Среща за ориентиране
      • Фаза 2: Одобряване на процеса
      • Фаза 3: Разписване на процеса
      • Фаза 4: Одит на процеса.

      www.mscservices.eu - Вашите ISO консултанти
    • от mscservices
      Възстановяване след бедствие или непрекъсваемост на бизнеса
      oт Пол Е. Муур

      Спомням си един цитат от сър Джон Харви Джоунс, той каза: "най-хубавото нещо отноно липсата на планиране е, че провалът идва като пълна изненада, вместо да се предшества от период на безпокойство и депресия"
      Това все още е подходът на много клиенти, когато става въпрос за възстановяване след бедствие и непрекъснатост на бизнеса. Въпреки това, с широко отразените събития през последните няколко години, заедно с новото законодателство, много клиенти напредват с проекти за защита на бизнеса им при възникване на непредвидено прекъсване.

      Тъй като изчислителна мощност се увеличава и разходите падат, в допълнение към високата надеждност на широколентовите мрежови услуги, времето никога не е било по-подходящо за клиентите да се помислят за преодоляването на този критичен въпрос, но от къде да започнат?
      Искате ли Hot site, Warm recovery, Cold Space? Искате ли Възстановяване след бедствие или непрекъснатост на бизнеса? Искате ли мобилен, статичен или център за възстановяване на бизнеса? Какво искате да покриете? Колко бързо се нуждаете от него? (след като сте решили какво е то!). И т.н. и т.н. и т.н.
      Не е чудно, че клиентът е объркан и приключва като отлага упражнението. Наскоро говорих с един клиент, имаше абонамент за услуга по възстановяване след бедствия в продължение на много години, само за да разбере, че когато той се нуждаеше от услугата,тя не успяваше да сработи! Това беше, защото те се фокусираха предимно върху услуга за Възстановяване след бедствие, а не върху Непрекъсваемостта на бизнеса.
      И така, каква е разликата?

      ========================================
      www.mscservices.eu - Вашите ISO консултанти
      ========================================

      Услугите за възстановяване след бедствие обикновено се фокусират върху предоставянето на ресурси за замяна. Те често са предоставяни на обща абонаментна база от специалисти - доставчици (хардуер, мрежови връзки, офис пространство, компютърни зали, глас и т.н.). Непрекъсваемостта на бизнеса е точно това, което е написано, Непрекъсваемост на бизнеса. С други думи, тя осигурява непрекъснатост на бизнеса след непланирано прекъсване. Но има много области, които трябва да бъдат проучени, преди пълен План за бизнес непрекъсваемост да може да бъде разработен и тестван.

      Общите стъпки, които трябва да бъдат предприети, са показани по-долу.
      Оценка на заплахите - най-първата стъпка за всеки успешен план за бизнес непрекъсваемост е оценката на заплахите. Ако не знаете срещу какво се опитвате да се защитите, как можете да се предпазите?
      Много клиенти намират това упражнение за безценно, тъй като то също така посочва рисковете за бизнеса им, които могат да бъдат намалени, или в някои случаи премахнати всички наведнъж: Затова превенцията формира много важна част от фазата на предварително планиране. Всички зони, нуждаещи се от подобряване, също трябва да се маркират на този етап.

      Много клиенти идентифицират по-очевидни заплахи, такива като бомби, самолетни катастрофи и т.н и много игнорират по-малко очевидни, като природни бедствия или влияния на околната среда като бомбени заплахи, неблагоприятни метеорологични условия или загуба на достъп до сградата, причинена от локализиран инцидент. Колко клиенти са наясно какъв риск преставлява бизнеса на съседите? Дали правят лесно запалими или токсични материали? Биха ли привлекли вниманието на екстремистки групи? Възможно ли е локализиран инцидент да ви попречи на достъпа до вашите съоръжение? Ако е така, за колко време?
      Преглед на въздействието върху бизнеса - Това е, когато наистина се стигне до истинското въздействие върху бизнеса. Един от проблемите на изграждането на успешен план за непрекъснатост на бизнеса е балансът: Какво да искате, и кога да го искате? Това е доста просто, наистина, колкото по-бързо го искаш, толкова повече се разходите! За да се балансира това, клиентът трябва да направи преглед на реалното влияние върху бизнеса си на дадено прекъсване (загуба на приходи, загуба на клиенти, влияние върху цената на акциите, законови изисквания, защита на паричните потоци и др.). Дори ако въздействието е толкова голямо, клиентът ще намери за много трудно да разгърне отново цялата си работна сила върху съоръженията за възстановяване в рамките на много кратки срокове. Няколко аварийни събития в Лондон показаха въздействието върху обществения транспорт и пътната мрежа (те бяха толкова тежки, че някои клиенти установиха, че не могат да придвижат своя персонал до съоръжениято за възстановяване!). Затова е от съществено значение, че вариантите за възстановяване са приоритезирани в краткосрочен, средносрочен и дългосрочен аспект.

      Изисквания за ресурсите - Сега ние знаем какво искаме, и кога го искаме, възможно е да започнете да търсите елемент на възстановяване при бедствия в бизнес непрекъсваемостта. Запомнете, споменах краткосрочен, средносрочен и дългосрочен план за възстановяване? Е, това е мястото, където Hot, Warm и Cold се появяват в картината.
      Hot Recovery - обикновено е наличен за минути. Тази услуга ще използва напълно “жива” услуга за подмяна върху алтернативно съоръжение с подходяща мрежова връзка на място. Това ще даде възможност на клиентите да прехвърлят операциите върху системата за възстановяване с минимално (понякога нула) влияние върху бизнеса. Очевидният недостатък на това е цената.
      Warm Recovery - Въпреки че Hot Recovery набира популярност, Warm Recovery все още е далеч по-често прилаганото решение. Warm услугите обикновено са въз основа на база общ абонамент (споделен риск) и са налични в рамките на часове от поискването им. Обикновено би отнело до 24 часа да имате системите включени и работещи за вашия бизнес.
      Warm услуга може да бъде осигурена по няколко начина; доставена на място, когато оборудването е натоварено върху ван, доставено и инсталирано на място при клиента (очевидно трябва да има на подготвено място, до което да се достави!). Ако компютърното помещение е повлияно от прекъсването (аварията), услугата може да бъде доставена в мобилно съоръжение за възстановяване (компютърна зала в товарен автомобил). А ако сайтът (работното място) не е достъпно напълно, може да бъде използван отдалечен център за възстановяване.
      Cold Solutions - Въпреки че e по-рядко срещанo, Cold Solutions (празен офис и компютърно оборудване) все още могат да бъдат привлекателни в средносрочен план. Позволява на клиентите да възстановят 50% до 80% от тяхната работа чрез гореща (Hot) или топла (Warm) опции, както и преместването им в рамките на няколко дни или седмици до подходящо място.

      Центрове за възстановяване на бизнеса - центровете за възстановяване на бизнеса са разположени по целия свят и могат да помогнат на клиента да направи по-рационално възобновяването на нормалните бизнес процеси, свързани с офиса, след бедствието. Тези съоръжения включват до хиляда бюра, оборудвани с компютри, телефони и компютърни зали. Те също така предлагат стаи за срещи/заседания, столова и съоръжения за отдих и дори секретарски дейности заедно с пълен телефонно обслужване и комуникационни възможности, включително PABX / ACD, ISDN, ADSL, SDSL, MPLS и други мрежови връзки.

      Сега вече е просто въпрос на писане на план и тестване за възстановяване! И разбира се, да прегледате стандарти като BS 25999, но това ще трябва да изчака след купчината мои писания.

      www.mscservices.eu - Консултанти по системи за управление
    • от mscservices
      Консултиране по ISO 9001 - Как да извлечете полза, работейки с консултант по ISO 9001
      От Артър Луис

      Консултирането по ISO 9001 се предлага откакто стандартът за системи за управление на качеството ISO 9001 е бил публикуван за първи път през 1979 г. .. В момента почти един милион компании по света са сертифицирани по някой стандартите за управление на бизнеса ISO или друг. Те включват ISO 9001, ISO 14001, AS9100, ISO / TS 16949 и др. Статистиките, които са събрани до този момент показват, че докато някои компании тръгнаха да внедряват ISO стандарти, използвайки вътрешни ресурски, тези, които използваха външни консултантски услуги по ISO 9001, се възползваха най-много по отношение на скоростта на изпълнение, ефективността и възвращаемостта.
      Консултантски фирми по ISO 9001 предлагат редица услуги. Нека сега да разгледаме някои от тях, така че да можете да определите какъв избор от услуги ще са най-подходящ за вашата компания.

      ISO 9001- Интерпретация на стандарта
      Стандартът за системи за управление на качеството ISO 9001 може да бъде труден документ за разбиране. Той е писан на квази-юридически език и посочва изискванията в много общи линии. Това е умишлено, тъй като той е предназначен да се прилага за всички видове бизнес дейност. Доста компании имат проблеми при интерпретирането му спрямо техните специфични бизнес процеси. Опитният консултант по ISO 9001 може да ви помогне да приложите стандарта към вашите специфични бизнес дейности.

      ISO 9001 - Одит на пропуските (Gap audit)
      Преди прилагането на стандарта ISO 9001 към вашия бизнес, вие трябва да знаете какво е несъответствието между вашите съществуващи бизнес практики и контролите, отнасящи се до ISO 9001. Ангажирайки консултантски услуги по ISO 9001 – вие можете да имате преглед на вашите настоящи практики на системата за управление, контроли и документация, така че да се установи степента, до която те отговарят на изискванията на ISO 9001. Консултантът ще ви даде подробен одитен доклад, посочващ пропуски във вашата компания заедно с неговите препоръки. Това ще помогне при съвместното внедряване на плана за изпълнение на проекта за ISO 9001 да се постигне пълно съответствие.

      ISO 9001 - Планиране и организация на проекта
      В зависимост от големината и сложността на вашата компания, проектът за внедряване на ISO 9001 може да отнеме от шест до 18 месеца до завършването му. Вашият ISO проект трябва да бъдат добре планиран по отношение на това колко време и ресурси са необходими, специфични дейности които трябва да се извършат, кой ще бъде отговорен за всяка дейност, основните прегледи, одобрения, обучение, разрешаванен на проблеми и т.н. Един добър консултант по ISO 9001 може да бъде ценен помощник при подпомагане на вашия бизнес да се справи с тази важна дейност.

      ISO 9001 - Идентифициране и документиране на бизнес процесите
      ISO 9001 разглежда бизнес процесите като ключов момент за контрол. Те включват както вътрешни, така и външни процеси. Някои компании имат трудности, правейки разграничение между процеси, отдели и функционални дейности. Консултантите – експерти по ISO 9001 могат да ви помогнат да идентифицирате и правилно да документирате всички организационни процеси, отнасящи се до вашата система за управление на качеството. Това включва: клиентски-ориентирани, управленски, по реализация на продуктите, по ресурсно планиране, измерване, поддръжка и изнесени (outsorced) процеси.

      ----------------------------------------------------------------------------------------------------------------
      www.mscservices.eu - Вашите ISO консултанти
      ----------------------------------------------------------------------------------------------------------------

      ISO 9001 - Разработване и внедряване на системата
      Основният акцент на стандарта ISO 9001 е върху ефективното планиране, функциониране и контрол на всички релевантни процеси, включени в системата за управление на качеството. Това е вероятно най-времеотнемащата и трудна част от всеки проект за внедряване на ISO. Много въпроси могат да възникнат като: какви процеси трябва да бъдат контролирани, какво се прави за ефективен контрол, как най-добре да се комуникира и внедри, взаимодействие между процесите, как да съзададете цели и задачи на процесите и какви записи да съхранявате. Това е мястото, където използването на външно консултантиране по ISO 9001 значително ще помогне в отговорите на тези въпроси, ще осигури необходимия фокус и ще улесни внедряването.

      ISO 9001 – Документиране на системата за управление
      Най-новият стандарт ISO 9001:2008 редуцира вниманието върху документирането и максимализира вниманието си вурху ефективното планиране и контрол. Достатъчно количество документация обаче е необходимо за много бизнес процеси, за да се осигури последователното прилагане на ефективен контрол. Много организации имат или твърде много, или твърде малко документация. Един опитен консултант може да помогне на организацията да определи до къде е нуждата, колко и как трябва да бъде документирано.

      ISO 9001 - Предварителната оценка
      Сертифициращите органи по ISO 9001 изпълняват своя сертификационен одит на два етапа. По време на етап 1 те преглеждат до колко е готов вашият бизнес (което включва вашите дейности по планиране, документиране и вътрешен преглед), а в етап 2 те одитират вашата система за управление за ефективно внедряване на планираните контроли, като в двата случая прегледът се извършва спрямо стандарта ISO 9001. След като прекарате няколко месеца във внедряване и счетете, че вашата компанията е готова за сертификационния одит, може да е от полза използването на външно консултиране, за да се направи веднъж, за да направи еднократна оценка дали сте наистина готови, да идентифицира всички слабости и да ви помогне да предприемете подходящи коригиращи действия, преди сертификационния одит.

      ISO 9001 - Обучение
      Консултантските услуги по ISO 9001 често предлагат разнообразие от възможности за обучение. Те включват:
      - Обучение по ISO 9001 за осъзнаване на служителите на всички нива
      - Мениджмънт насочен общ преглед на ISO стандарта - за топ мениджмънта
      - Идентификация, описание, анализ и подобрение на процесите
      - Управление на ISO проекти
      - Документиране и внедряване на ISO
      - Вътрешен одит
      - Използване на инструменти за решаване на на проблема
      Въз основа на степента на вътрешна експертиза в рамките на вашата организация, вие можете да пожелаете да използвате външна консултантска услуга по ISO 9001, осигуряваща ви някаква част или цялото това обучение.

      Разработване и поддръжка на програма за вътрешна одит по ISO 9001
      За да бъде сертифицирана и да остане такава, стандартът ISO 9001 изисква вашата организация да планира и провежда програма за вътрешен одит на своята система за управление на качеството. В тези дни много организации имат недостиг на ресурси, експертиза за вътрешен одит и налични служители, така че те аутсорсват поддържането на техните програми за вътрешен одит по ISO 9001 на консултантски фирми, които го правят далеч по-ефективно, отколкото повечето вътрешни одитори.

      ISO 9001 – Процес на непрекъснато подобряване
      Стандартът ISO 9001 очаква вашата система за управление на качеството да бъде динамична и да работи за непрекъснато подобряване на ефективността и ефикасността на вашата организация, а също и за повишаване удовлетвореността на клиентите. Много консултантски фирми по ISO 9001 имат разнообразни умения и опит в стратегии и методи за непрекъснато подобряване. Те могат да включват решаване на проблеми, Six Sigma, ефективно производство, използване на различен бизнес софтуер и инструменти и т.н. Те могат значително да увеличат темпото ви чрез придобиване на допълнителна оперативна ефективност, удовлетвореност на клиентите и повишаване на рентабилността на бизнеса.

      www.mscservices.eu - Вашите ISO консултанти
×
×
  • Добави ново...